Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных icon

Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных




НазваниеПостановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Дата конвертации19.05.2013
Размер92.72 Kb.
ТипПостановление
источник





ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ



ПОСТАНОВЛЕНИЕ


от 1 ноября 2012 г. №1119


МОСКВА


Об утверждении требований к защите персональных данных

при их обработке в информационных системах

персональных данных


В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации п о с т а н о в л я е т :

1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001).


Председатель Правительства

Российской Федерации Д.Медведев


УТВЕРЖДЕНЫ

постановлением Правительства

Российской Федерации

от 1 ноября 2012 г. № 1119


Т Р Е Б О В А Н И Я


к защите персональных данных при их обработке

в информационных системах персональных данных


1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных».

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: 

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).


_____________





Похожие:

Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconФедеральная служба по техническому и экспортному контролю информационное сообщение
Правительства Российской Федерации от 1 ноября 2012 г. №1119 утверждены требования к защите персональных данных при их обработке...
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconПостановление От 17 ноября 2007 г. N 781 об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconОб информации, информационных технологиях и о защите информации
Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconМетодика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Примечание: пометка «для служебного пользования» снята Решением фстэк россии от 16 ноября 2009 г
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconПредседатель Правительства Российской Федерации В. Зубков Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconПоложение «Об автоматизированной обработке персональных данных участников образовательного процесса» муниципального общеобразовательного бюджетного учреждения «Мельничная основная общеобразовательная школа»
«Об информации, информатизации и защите информации», международными обязательствами Российской Федерации в сфере соблюдения прав...
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconПриказ №2478 г. Саратов о защите, хранении, обработке и передаче персональных данных участников образовательного процесса муниципальных образовательных учреждений
Конституции РФ от 12. 12. 1993 г., Гражданским кодексом РФ от 26. 01. 1996 г. №14-фз, Трудовым Кодексом от 30. 12. 2001 г. №197-фз,...
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconУтверждаю Приказ n от Директор: И. А. Шерстобитова М. П. Положение о защите, хранении, обработке и передаче персональных данных работников мбоу «оош №8 им. А. П. Чехова»
Конституцией Российской Федерации, Трудового кодекса рф, Федеральным законом "Об информации, информационных технологиях и о защите...
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconСогласие на обработку персональных данных Настоящим во исполнение требований Федерального закона «О персональных данных»
Кредитному потребительскому кооперативу «ПрофАльянс» (далее кпк «ПрофАльянс») на обработку моих персональных данных в целях вступления...
Постановление От 1 ноября 2012 г. №1119 москва об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных iconИнформация о документах, необходимых для предоставления в образовательное учреждение при зачислении в первый класс
Мбоу, в котором дается согласие на обработку их персональных данных и персональных данных ребенка в порядке, установленном законодательством...
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©sov.opredelim.com 2000-2015
При копировании материала обязательно указание активной ссылки открытой для индексации.
обратиться к администрации
Документы